Estamos, afortunadamente, comenzando a pensar en el “desescalado” de las fuertes medidas adoptadas en relación con el COVID-19 durante las últimas semanas pero dentro de los numerosos problemas que ello plantea uno, no menor y en el que nos debemos detener a buscar respuestas, es el relativo al control de temperatura de los trabajadores presenciales a través de escáneres y termómetros digitales sin contacto antes de ingresar a su lugar de trabajo. Una exigencia vinculada, como destaca el “Procedimiento de actuación para los servicios de prevención de riesgos laborales frente a la exposición al COVID-19” en su versión de 8 de abril de 2020, con el hecho de que “dado que el contacto con el virus puede afectar a entornos sanitarios y no sanitarios, corresponde a las empresas evaluar el riesgo de exposición” y, por extensión, establecer cuantas medidas sean necesarias para la protección colectiva de sus trabajadores a fin de evitar un indeseado repunte de la pandemia.

Tales sistemas de control biométrico, ni invaden la integridad física (art. 15.1 CE), ni el derecho a la intimidad de las personas (art. 18.1 CE), como analógicamente podría extraerse de los razonamientos en su día realizados por el Tribunal Constitucional en su Auto 57/2007, de 26 de febrero. Pero sí se plantea con nitidez la necesidad de valorar los efectos de dichos controles en materia de protección de datos. Y ello desde la base de que, como brillantemente ha señalado JOSÉ LUIS PIÑAR en un artículo esencial para comprender la compleja problemática de la protección de datos durante el COVID-19, no es éste “un derecho impertinente que “prohíba” sin más “hacer cosas”; más bien marca el camino que indica “cómo deben hacerse las cosas”.

La referida afectación se produce dado de que la temperatura corporal constituye un dato biométrico y, por tanto, especialmente sensible a su tratamiento (de las distintas dimensiones y numerosos problemas prácticos que plantean el tratamiento de estos datos me he ocupado extensamente en mi estudio “Datos biométricos en los centros de trabajo” que se publicará próximamente en la revista Trabajo y Derecho). Los mismos son definidos, con arreglo al art. 4.14 del Reglamento (UE) 2016/679 del Parlamento y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas (en adelante, “RGPD”), como “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”. Y ello porque, como expresó el WP80 del Grupo de Trabajo del artículo 29 (hoy Comité Europeo de Protección de Datos y organismo responsable de la aplicación del RGPD), el tratamiento de estos datos se realiza a través de sistemas biométricos que son: “aplicaciones de las tecnologías biométricas que permiten la identificación automática, y/o la autenticación/comprobación de una persona”. Medios que permiten la comprobación de características fisiológicas de una persona, como es en nuestro caso, la temperatura.

El art. 9.1 RGPD establece que: “Quedan prohibidos el tratamiento de (…) datos biométricos dirigidos a identificar de manera unívoca a una persona física (…)”. Categóricamente, el RGPD sienta un principio general en relación con las categorías especiales de datos: la prohibición de su tratamiento. Ahora bien, el art. 9.2 RGPD establece un amplio listado de excepciones a tan contundente regla. De entre las mismas, dos pueden resultar de aplicación en el caso que nos ocupa. Estas son las contenidas en los apartados b) y h) del art. 9.2 RGPD. En el caso de la letra b), se dice que la prohibición se levantará si “el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado”. Ya que el empleador está sujeto o a la normativa de prevención de riesgos laborales de la cual se desprende, art. 14 y concordantes de dicha Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales (en adelante, LPRL), a ella deberá estarse para determinar los límites y alcance de dicho control.

La anterior posibilidad se refuerza con el supuesto que contempla la letra h) del citado art. 9.2 RGPD, cuando habilita “el tratamiento si es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3 (obligación de secreto profesional)”. Este precepto debe leerse a la luz de la disposición adicional decimoséptima de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos y garantía de los derechos digitales, que dispone que: “Están amparados en las letras g), h), i) y j) el artículo 9.2 RGPD los tratamientos de datos relacionados con la salud y de datos genéticos que regulen las leyes siguientes y sus disposiciones de desarrollo: (..) b) Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales“.

Dice el refrán que “todos los caminos conducen a Roma”. Parece claro, por ello, que utilizando cualquiera de las dos excepciones que resultan aplicables a estos casos se converge siempre en la regulación que de esta materia se realiza por la LPRL. De este modo, será posible verificar el estado de salud de las personas trabajadoras pero, para ello, deberá cumplirse con las exigencias que contiene el art. 22.1 LPRL. Dicho precepto, que parte de la voluntariedad del reconocimiento médico, excepciona dicha regla en terminados casos y, en concreto, en uno que resulta del todo pertinente en la situación que vivimos. El trabajador no puede oponerse al control sanitario y por tanto la vigilancia será obligatoria: “Cuando sea necesario conocer el estado de la salud de los trabajadores, en tanto en cuanto pueda suponer un riesgo para el propio trabajador, para los demás trabajadores o para otras personas relacionadas con la empresa”.

Sobre la base de su obligatoria imposición al trabajador, el empresario, en estos casos, deberá cumplir con los exigentes requisitos previstos por el art. 22.2, 3, 4 y 6 LPRL. En concreto, la realización de esa vigilancia deberá efectuarse con: (i) Las menores molestias y proporcionalidad al riesgo (no serían admisibles, por ello, controles permanentes pero sí, por ejemplo, a la entrada y salida o de observarse síntomas de contagio); (ii) Confidencialidad en el uso de la información obtenida. (iii) Comunicación de los resultados a los trabajadores. (iv) Conocimiento por la empresa únicamente de la aptitud o no del trabajador para el desempeño del puesto (no podrá tener acceso, por ejemplo, al listado de temperaturas).

Algunos autores y expertos en protección de datos consideran que de la interpretación de la AEPD en su contestación a preguntas frecuentes (en adelante, FAQ), puede derivarse que no se exige que, en todo caso y en exclusiva, sea sólo el personal sanitario (“debería ser realizada por personal sanitario”, dice la AEPD) quien puede tomar la temperatura a los trabajadores con el fin de detectar casos de coronavirus. Tal posibilidad, entienden, podría extenderse, por ejemplo, al personal de vigilancia y seguridad. Pero esta solución nos ofrece muchas dudas a la luz del art. 22.6 LPRL.

Dicho precepto establece que tales medidas de vigilancia se deben llevar a cabo por “personal sanitario con competencia técnica, formación y capacidad acreditada”. La normativa de prevención de riesgos laborales es especialmente exigente en esta materia. Así se extrae del art. 37.3 a) del Real Decreto 39/1997, de 17 de enero, por el que se aprueba el Reglamento de los Servicios de Prevención, que señala que: “Los servicios de prevención que desarrollen funciones de vigilancia y control de la salud de los trabajadores deberán contar con un médico especialista en Medicina del Trabajo o diplomado en Medicina de Empresa y un ATS/DUE de empresa, sin perjuicio de la participación de otros profesionales sanitarios con competencia técnica, formación y capacidad acreditada”. Norma precisada en los artículos 4.2 y 4.3 del Real Decreto 843/2011, de 17 de junio, por el que se establecen los criterios básicos sobre la organización de recursos para desarrollar la actividad sanitaria de los servicios de prevención. La anterior regulación debe leerse a la luz, también, de la Ley 44/2003, de 21 de noviembre, de ordenación de las profesiones sanitarias.

Finalmente, la propia AEPD en sus FAQ admite, y con ello estamos plenamente de acuerdo, que el tratamiento de los datos obtenidos a partir de las tomas de temperatura debe respetar la normativa de protección de datos y, por ello, exige en todo caso que se respeten los principios de protección de datos, y especialmente el de finalidad (sólo contener la propagación del coronavirus y no otras distintas) y conservar los datos no más del tiempo necesario para tal finalidad.

La cuestión, no cabe duda, está llamada a plantear importantes problemas prácticos cuando se inicie el desescalado y resulta compleja, como con facilidad se extrae de las respuestas habidas en el ámbito comparado (como ha puesto de manifiesto en un riguroso y documentado trabajo A. MARZO PORTERA, quien adelantó sus dudas sobre la interpretación de la AEPD). El número de sanitarios necesarios para llevar a cabo esos controles puede resultar a todas luces insuficiente, por lo que resulta necesario valorar el recurso otros sistemas que se encuentren dotados de las suficientes garantías. Aunque, como decimos, la AEPD parece partir de una interpretación amplia de los sujetos que están facultados para realizar dicho control, esa interpretación choca en este momento con las limitaciones existentes en la normativa de prevención de riesgos laborales y que se proyectan en materia de protección de datos. Es verdad que existen técnicas poco invasivas y que, incluso, pueden desarrollarse de manera anónima, pero el problema último será quien está facultado para gestionar esas informaciones dado que no se trata de una mera recogida de información sino que el resultado puede tener consecuencias sanitarias de enorme transcendencia.

Actualizada al Comunicado de la AEPD (30/4/2020)

La AEPD ha publicado el día 30 de abril de 2020 un Comunicado en relación con la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos. En el mismo pone de manifiesto su preocupación por el tratamiento de toma de temperatura dado que, por un lado, supone una injerencia particularmente intensa en los derechos de los afectados y, por otro, afecta a datos relativos a la salud de las personas, no sólo porque el valor de la temperatura corporal es un dato de salud en sí mismo sino también porque, a partir de él, se asume que una persona padece o no una concreta enfermedad, como es en estos casos la infección por coronavirus.

Sobre estas premisas, en el ámbito laboral, poseen especial interés las siguientes conclusiones:

(i) Principio de legalidad. En el caso de la comprobación de la temperatura corporal como medida preventiva de la expansión de la COVID-19, la base jurídica para el tratamiento de datos no podrá ser, con carácter general, el consentimiento de los interesados.

(ii) Bases jurídicas en el ámbito laboral: En el entorno laboral, la posible base jurídica podría encontrarse en la obligación que tienen los empleadores de garantizar la seguridad y salud de las personas trabajadoras a su servicio en los aspectos relacionados con el trabajo. En todo caso, se requiere de una adecuada ponderación entre el impacto sobre los derechos de los clientes o usuarios de estas medidas y el impacto en el nivel de protección de las personas empleadas. En otros ámbitos en que no sea relevante esta base jurídica, cabría plantear la existencia de intereses generales en el terreno de la salud pública que deben ser protegidos (art. 9.2.i) RGPD).

(iii) Limitación de finalidad. Los datos de temperatura solo pueden obtenerse con la finalidad específica de detectar posibles personas contagiadas y evitar su acceso a un determinado lugar y su contacto dentro de él con otras personas. Esto es especialmente aplicable en los casos en que la toma de temperatura se realice utilizando dispositivos (como, por ejemplo, cámaras térmicas) que ofrezcan la posibilidad de grabar y conservar los datos o tratar información adicional, en particular, información biométrica.

(iv) Exactitud de los datos. El principio de exactitud implica que los equipos de medición que se empleen deben ser los adecuados. Esta adecuación debiera establecerse utilizando solo equipos homologados para estos fines y con criterios que tengan en cuenta esos niveles de sensibilidad y precisión. El personal que los emplee debe reunir los requisitos legalmente establecidos y estar formado en su uso.

(v) Derechos y garantías. En todo caso, los afectados siguen manteniendo sus derechos de acuerdo con el RGPD y siguen siendo de aplicación las demás garantías en él establecidas, si bien adaptadas a las condiciones y circunstancias específicas de este tipo de tratamiento.

En ese sentido, dice el Comunicado que debieran considerarse, entre otras, medidas relativas a la información a los trabajadores para permitir que las personas en que se detecte una temperatura superior a la normal puedan reaccionar ante la decisión de impedirles el acceso a un recinto determinado. Para ello, el personal deberá estar cualificado para poder valorar esas razones adicionales o debe establecerse un procedimiento para que la reclamación pueda dirigirse a una persona que pueda atenderla y, en su caso, permitir el acceso.

En el caso de las cámaras térmicas, en la medida en que pueden ofrecer posibilidades adicionales a la toma de temperatura, deben ser utilizadas prestando especial atención a los principios de limitación de finalidad y minimización de datos establecidos por el artículo 5.1 RGPD.